Bezpečnostní správci jsou velmi sebevědomí. Prodloužena podpora pro MS Emet. Červ pro chytré žárovky. DDoS vyřazuje internet v jednotlivých zemích. Zranitelnosti a opravy: GitLab, D-Link, OpenSSL…
Následuje pravidelný bezpečnostní přehled vytvářený především podle webů ZDNet, CNet, The Register a HelpNet Security.
MS EMET vydrží déle
Microsoft rozšířil podporu pro nástroj EMET (enhanced mitigation toolkit), který slouží ke zmírňování bezpečnostních děr tam, kde není k dispozici plnohodnotná oprava. Poskytuje např. znáhodnění adresního prostoru a prevenci před spouštěním kódu, nicméně např. ransomware dokáže tuto úroveň ochrany běžně obcházet. EMET byl poprvé uveden pro Windows Vista, ve Windows 10 už podle Microsoftu jeho existence nemá příliš smysl, nicméně Microsoft jej loni v únoru nakonec dal k dispozici i pro svůj nejnovější OS. Jeffrey Sutherland z Microsoftu nyní přislíbil, že EMET na Vista, Windows 7 a 8 bude podporován do poloviny roku 2018; původně měla podpora skončit už na počátku příštího roku.
Pozor na zastavení databází
Zločinci stojící za ransomwarem Cerber se v posledních kampaní ve stále větší míře orientují na zašifrování provozních dat v podnikových databázích. Bezpečnostní stratég Matthew Rosenquist varuje správce databází: pokud náhle vypadne provoz, může to být dokladem, že ransomware začal svou práci (snaží se databázovou aplikaci nejdřív zastavit, otevřené soubory, s nimiž se pracuje, se dají těžko zašifrovat). Šifrování použité aktuální verzí Cerbera dosud nebylo prolomeno.
Podle průzkumu Accenture až 75 % specialistů na zabezpečení IT v podnicích věří, že dokáží zamezit prakticky veškerým průnikům do svých systémů. 54 % respondentů tohoto průzkumu (2 000 vedoucích bezpečnostních specialistů ve firmách s obratem dohromady přes miliardu dolarů) by v případě zvýšení rozpočtu investovali do víceméně stejných věcí, jaké dělají dosud. 17 % by zvýšilo investice do školení zaměstnanců, 28 % by se pak snažilo zmírnit finanční škody, které mohou vyplynout z úspěšného průniku.
Prohlížeče přestanou sledovat baterii
Podpora pro Battery Status API bude odstraněna z Firefoxu (od verze 52) i WebKitu (do Safari přitom plná podpora ještě nebyla ani implementována). Funkcionalita dává dobrý smysl, u mobilních zařízení by se prostě při skoro vybité baterii začaly prohlížeči servírovat speciálně upravené (ořezané) verze webů. Příslušné funkcionalita ale s sebou údajně nesla bezpečnostní rizika, mj. i s ohledem na soukromí uživatelů, jejichž zařízení takto mohlo být serverem/aplikací identifikováno.
Statistika „bug bounty“ programu Mozilly. V letošním roce bylo díky hlášení nezávislých výzkumníků takto opraveno více než 130 vážných bezpečnostních zranitelností. Šéf zabezpečení v Mozille Richard Barnes uvádí, že společnost se snaží v této oblasti spolupracovat s dalšími organizacemi, jmenovitě byl zmíněn Google, Facebook a Cloudflare. Mozilla také do zabezpečení dalších open source projektů investovala 800 000 dolarů.
Https už jasně převládá
75 % času tráví uživatelé desktopových verzí Chrome při práci s weby, kde se spojení realizuje jako https. U Chrome na Androidu je tento podíl znatelně nižší, nicméně i zde stabilně roste a přesáhl 40 %. Od verze 56 má Chrome přímo označovat spojení http za nebezpečné (původně tedy pouze na webech, kde se zadávají hesla a další citlivé informace).
Po posledních masivních útocích DDoS se objevila varování, že tyto akce mohou v některých zemích přímo zkomplikovat využitelnost Internetu. Jak se zdá, prognóza se stala realitou – alespoň v západoafrické Libérii internet na několik dní prakticky vypadl. Viníkem byl opět botnet Mirai (jeho kód má ale k dispozici více skupin, nemusí jít tedy o akci stejných pachatelů jako v případě útoků na poskytovatele DNS Dyn).
Viz také: Bezpečnostní přehled: Budoucnost útoků DDoS
Červ pro chytré žárovky
Byl demonstrován červ, který se dokáže šířit sítěmi chytrých žárovek Philips Hue a zvládne je libovolně zhasínat a vypínat v rámci celého města; a samozřejmě takto kompromitované žárovky lze využít i jako IoT botnet pro DDoS útoky. Žárovky mají vestavěnou bezdrátovou konektivitu Zigbee (2,4 GHz) a červ mezi nimi může přeskakovat až na 400 metrů; stačí připojit vedle žárovku již infikovanou červem, pro masové šíření ji lze nechat přenášet také dronem. Philips sice již vydal opravu, ovšem pokud by žárovka již byla infikovaná (spíše teoreticky, nejde o útok z reálného světa, ale o ukázku typu proof-of-conpcept), červ může přijímání aktualizací vypnout.
Podrobnější článek na toto téma viz ScienceMag
Zranitelnosti a opravy
Firma Gitlab vydala opravu bezpečnostní zranitelnosti CVE-2016-9086 svého softwaru ve verzích Community Edition (CE) a Enterprise Edition (EE). Chyba umožňovala útočníkům snadné získávání autentizačních tokenů.
Ve směrovačích D-Link se podle Carnegie-Mellon CERT nachází chyba v implementaci protokolu Home Network Automation Protocol (HNAP). Postižena je řada produktů DIR určená pro segment SOHO. Pokud útočník zašle směrovači speciálně upravenou zprávu SOAP, dojde k přetečení zásobníku a útočník může bez přihlášení získat na zařízení maximální oprávnění a spustit libovolný kód. Jediným řešením problému je v tuto chvíli zakázat vzdálené přihlašování.
Chyba v Chrome pro Android podle analytiků Kaspersky Lab umožnila podvodníkům dostat na zařízení asi 300 000 uživatelů (převážně v Rusku) bankovní trojské koně. Samotný malware si oběti musely stáhnout, ovšem útočníci se reklamy na něj průběžně snaží pašovat do legitimních sítí nebo odkazy šíří dalšími kanály.
CSIRT.CZ varuje
Nová verze OpenSSL 1.1.0c opravuje tři bezpečnostní zranitelnosti včetně nejzávažnější CVE-2016-7054.
Doplněk pro Chrome a Firefox Web Of Trust (WOT) varuje uživatele před potenciálně nebezpečnými stránkami. Sám ale může představovat riziko. Informace získané s pomocí tohoto doplňku jsou prý prodávány třetím stranám. Navíc jsou tato data, která se týkají navštěvovaných stránek, nedostatečně anonymizována.
Ze světa firem
Začínají se objevovat první předpovědi vývoje kybernetické bezpečnosti pro příští rok. Check Point praví: trendem mají být rostoucí útoky na mobilní zařízení konkrétních lidí a průniky do firemních sítí přes kompromitované mobily. Rozšíří se útoky na další kategorie zařízení IoT, např. tiskárny. Stále větší rizika budou spojena s provozem systémů SCADA a dalších systémů pro řízení průmyslových provozů. Ransomware je pro podvodníky tak výnosný, že tyto útoky sotva ztratí na intenzitě. „Můžeme očekávat také nárůst ransomwarových útoků na cloudová datová centra,“ praví rovněž prognóza. (Zdroj: tisková zpráva společnosti Check Point)
Vydána byla pravidelná analýza IT Threat Evolution in Q3 Report od Kaspersky Lab. Co se analýzy ransomwaru týče, studie praví: Nejvíce obětí má na svědomí Trojan-Downloader.JS.Cryptoload – rodina downloaderů v podobě JavaScriptu schopná stahovat jiné rodiny ransomwaru. Mezi nejrozšířenější z nich ve třetím čtvrtletí patřily CTB-Locker (28 % napadených uživatelů), Locky (10 %) a CryptXXX (9 %). O 6 % vzrostl počet uživatelů napadených bankovním malwarem. (Zdroj: tisková zpráva společnosti Kaspersky Lab)
Eset otevřel novou pobočku v Mnichově. Regionální centrum společnosti Eset pro německy mluvící země (Německo, Rakousko, Švýcarsko) zůstává v Jeně. Eset v tomto regionu zaznamenal dvojciferný růst tržeb. (Zdroj: tisková zpráva společnosti Eset)
Za únik peněz z účtů dvaceti tisíc klientů britské Tesco Bank je podle společnosti Eset s nejvyšší pravděpodobností zodpovědný škodlivý kód Retefe. Tento malware se většinou šíří jako příloha e-mailu, která se vydává za objednávku, fakturu nebo podobný dokument. Malware modifikuje stránku internetového bankovnictví, jež se zobrazuje klientovi banky v prohlížeči, a následně se pokouší sbírat přihlašovací údaje. (Zdroj: tisková zpráva společnosti Eset)
Představeno bylo nové řešení pro zabezpečení koncových bodů Cisco AMP for Endpoints. Prevence, detekce a reakce na hrozby jsou spojeny do jednoho cloudového řešení poskytovaného na bázi modelu SaaS. (Zdroj: tisková zpráva společnosti Cisco)
Psali jsme na ITBiz.cz
Na téma zabezpečení na ITBiz viz také
Výživné úterý: záplaty pro Windows, prohlížeče Microsoftu, Android i Flash Player